Security managementSicurezza

McAfee, da un approccio ‘best-of-breed’ al valore dell’integrazione

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

McAfee, come aziende indipendente, sarà più rapida nel declinare strategia e tattica senza rinunciare alla collaborazione con Intel. L’esperienza Intel security ha evidenziato come l’orchestrazione e l’integrazione di tutti gli strumenti di difesa sia un approccio più virtuoso rispetto all’adozione di soluzioni best-of-breed

Spetta a Ferdinando Torazzi, Regional Director per l’Italia e la Grecia di Intel Security, il primo incontro con la stampa dopo la cessione da parte di Intel della divisione sicurezza alla nuova società denominata McAfee, creata da Intel insieme a TPG e da quest’ultima controllata (con Intel al 49 percento).
Intel, in accordo con TPG (un fondo di investimento americano), ha deciso quindi di portare di nuovo sul mercato il brand McAfee. L’azienda sarà operativa nella sua catena di azione in modo indipendente da Intel, e con il suo nome storico continuerà ad offrire risposte ai clienti. Maggiore sarà l’agilità, e unico il focus, sulla sicurezza, nelle declinazioni necessarie alle aziende (di qualsiasi dimensione) con attenzione ai trend legati a Industry 4.0 (quindi cloud, il mondo Iot, Big Data, le applicazioni con i droni). Resta solida la collaborazione con Intel, tantopiù per per i progetti negli ambiti appena citati, ma a tutti gli effetti McAfee sarà un’azienda separata e per questo più veloce sul campo.

ferdinando-torazzi_high
Ferdinando Torazzi, Regional Director per l’Italia e la Grecia di Intel Security

L’ufficializzazione avverrà in occasione di Focus 2016, fino a quel momento la denominazione rimarrà Intel Security McAfee, ma è già in atto la naturale trasformazione strategica. Spiega Torazzi: “Il nuovo approccio McAfee alla sicurezza non stravolge certo i termini della questione, ma rappresenta un passo avanti, perché significa passare da una sicurezza centrata sul concetto di best-of-breed (scelto da alcuni competitor), verso l’integrazione di tutti gli aspetti di security”. Si punta quindi alla concertazione operativa tra sistemi di difesa, compliance, governance, correlati tra di loro per innalzare il livello di sicurezza, con un preciso focus aziendale.

Oggi il cybercrime agisce attraverso attacchi mirati alle aziende, per sottrarre loro valore (informazioni, brevetti, carte e conti correnti). Si sta trasformando anche l’economia finanziaria grazie alla digitalizzazione e alla virtualizzazione delle valute (BitCoin, pagamenti mobile). McAfee vede nell’integrazione, nella possibilità di automatizzare le risposte agli attacchi e nell’orchestrazione complessiva il modello del ciclo di vita di un approccio alla sicurezza virtuoso: Detect, Protect, Correct, ovvero la fase di individuazione della minaccia, la protezione del valore, la correzione del problema.

Significa impegnarsi nell’azione per evitare, ridurre e mitigare il rischio. Significa sapere assegnare priorità agli attacchi, attraverso un sistema adattivo in grado di imparare in tempo reale e portare la protezione su tutti i sistemi, dal network all’endpoint, al data center. “L’approccio best-of-breed – secondo Torazzi – è un approccio ‘tattico’: si offre la migliore protezione al data center, ma si rinuncia alla protezione del dato quando inizia a muoversi, che è poi il momento in cui viene valorizzato (su tablet, smartphone per esempio). L’approccio corretto è invece seguire l’informazione e proteggerla sia sui device, sia in cloud, sia nei data center”.

Non significa ignorare che ci sono ambienti in cui il dato è esposto a criticità maggiori, e tantomeno rinunciare alle policy, anzi, quest’approccio permette di utilizzare le policy come strumento strategico, conferendo loro validità all’interno dell’intero sistema di protezione, da una posizione di controllo superiore, coerente dal device al data center – con la visibilità sull’informazione, sul network e ovviamente proprio sulle policy. Security e policy devono “essere un unico mondo gestibile da un punto di controllo centralizzato” che consentirà a un numero inferiore di persone di tendere alla sicurezza sull’endpoint come sul data center, con i relativi risparmi, che anche quando si parla di sicurezza rappresentano la prima richiesta dei clienti.

Per raggiungere questi obiettivi strategici da diversi anni Intel Security McAfee ha messo in campo più soluzioni, tutte, ruotano attorno a SIEM (Security Information & Event Management), Threat Intelligence Exchange,  Advanced Threat Defense, e Active Response; tutte sono integrate in un’unica soluzione sicurezza per un’unica visione globale (non importa che la si voglia declinare sul network, nei datacenter o sugli endpoint. E’ questa la posizione di forza di McAfee con un SIEM non solo osservativo, ma operativo, con un’ampia capacità di correlazione e di intervento.

Come agisce la protezione McAfee

“C’è un unico scenario possibile oggi, per chi amministra la sicurezza, ed è lo scenario Zero Day, dove è però indispensabile pensare a tempi di reazione necessari nell’ordine dei minuti”, entra così nel dettaglio delle soluzioni McAfee, Marcello Romeo, Presales manager per l’Italia, di Intel Security. Le criticità sono la mancanza di risorse non solo tecnologie, ma anche di competenze; i Big Data, inoltre, hanno contribuito ad innalzare i volumi di attacchi – i report della Global Threat Intelligence di Intel Security  parlano di oltre 600 milioni di attacchi univoci globali, semplicemente basati su firme. Solo una gestione centralizzata in cui integrare tutti gli aspetti della gestione del rischio permette di sostenere i tre pilastri del ciclo di vita della difesa del dato.

marcello-romeo
McAfee, Marcello Romeo, Presales manager per l’Italia, di Intel Security

Il ciclo di gestione della sicurezza di McAfee si adatta a gestire le minacce in modo intelligente. Non solo con strumenti convenzionali, tramite l’analisi delle firme, ma anche sfruttando analisi comportamentali e algoritmi predittivi. Il fulcro dell’intervento integrato è rappresentato da Threat Intelligence Exchange Module, composto da un database di reputazione delle minacce che vive all’interno dell’azienda che lo implementa (ed è collegato a Global Threat Intelligence), e che colloquia con tutte le soluzioni che fanno da protezione all’ambiente, da quelle sugli endpoint alle protezioni di rete.

Tutto è gestito dalla consolle centralizzata, l’orchestratore delle policy. Le direttive McAfee prevedono la necessità di disporre di un Converged EndPoint, che si occupa della protezione di desktop e server ma in modo non convenzionale, partendo da un tool di base antimalware classico, ma con l’aggiunta di altri moduli e componenti tra cui ovviamente Threat Intelligence che rappresenta il fulcro, perché funge da collante tra tutto quello che succede in rete ovunque accada. Essa nel client indaga tutto ciò che non ha ancora una reputation definita. Il TIE (Threat Intelligence Exchange) rimanda un allarme, nel caso, fino all’analisi che viene ultimata da Advanced Threat Defence. Ne consegue un eventuale blocco della minaccia.

Infografica - Strategia McAfee
Infografica – Strategia e tattica di McAfee declinata evidenziando il lifecycle della sicurezza e gli strumenti operativi

Se Advanced Threat Defense è l’appliance che analizza tutti gli oggetti collegata a Threat Intelligence, la parte più innovativa che riguarda la protezione dell’endpoint è rappresentata da Dynamic Application Containment, un engine che risiede nell’endpoint a livello di kernel e consente l’analisi comportamentale di tutte le azioni dell’endpoint e in grado di lavorare anche quando non c’è connessione al cloud o alla Rete, per la protezione efficace anche del paziente zero, anche senza collaborazione con la Threat intelligence, semplicemente basandomi sul comportamento, è a questo livello che si riescono a limitare i danni causati dai Ransomware.

Un nuovo modulo verrà inoltre rilasciato a breve, si chiama Real Protect e utilizza i temi del machine learning per apprendere il comportamento di un’applicazione, delinearne un riassunto che nel cloud di McAfee verrà analizzato per capire se quel comportamento in qualche modo assomiglia a una storia di malware già nota. Invece con Active Response, McAfee è in grado di individuare in modo automatico le postazioni già infette perché hanno un comportamento anomalo e suggerire il contenimento dell’infezione e l’eliminazione delle applicazioni malevole.

McAfee TIE
McAfee TIE

In cloud la strategia di McAfee prevede soluzioni al servizio dei service provider, con network, server, e database protection integrata con Threat Intelligence. A livello di server per esempio con Application control (sistemi di white listing binario) e Database security gestita dall’orchestratore delle policy. A livello di Network protection, McAfee ha introdotto il concetto di Software Defined Security, con Open Security Controller, con la possibilità quindi di spostare l’erogazione di un servizio insieme al profilo di sicurezza che lo riguarda.